David Edwards
Pohjois-Korean kanssa liittoutunut kybervakoiluryhmä on käynnistänyt uuden kohdennettujen hyökkäysten aallon kryptovaluutta-ammattilaisia vastaan käyttäen haittaohjelmia, jotka on suunniteltu keräämään arkaluonteisia tunnistetietoja digitaalisista lompakoista ja salasananhallintajärjestelmistä. Cisco Talosin keskiviikkona julkaiseman raportin mukaan kampanjan on syytetty "Famous Chollimasta", joka tunnetaan myös nimellä "Wagemole", ja aiemmin Pohjois-Koreaan yhdistetystä uhkatoimijasta.
Hyökkäys hyödyntää Python-pohjaista etäkäyttötroijalaista (RAT) nimeltä PylangGhost, jonka tutkijat ovat tunnistaneet aiemman GolangGhost RAT -haavoittuvuuden muunnelmaksi. Haittaohjelma antaa hyökkääjille täyden etähallinnan tartunnan saaneista järjestelmistä, jolloin he voivat varastaa evästeitä, selaintietoja ja arkaluonteisia tietoja yli 80 selainlaajennuksesta. Kohteisiin kuuluvat kryptolompakkosovellukset, kuten MetaMask, Phantom, TronLink ja MultiverseX, sekä salasananhallintaohjelmat, kuten 1Password ja NordPass.
Kampanja näyttää keskittyvän pääasiassa Intiassa asuviin ammattilaisiin, joilla on kokemusta lohkoketju- ja kryptovaluuttojen alalta. Uhrit rekrytoidaan väärennettyjen työpaikkailmoitusten kautta väärennetyillä verkkosivustoilla, jotka tekeytyvät yrityksiksi, kuten Coinbase, Robinhood ja Uniswap. Kun alustava yhteydenotto on luotu, hyökkääjät tekeytyvät rekrytoijiksi ja ohjaavat uhrit väärennetyille taitojen testausalustoille.
Lavastettujen haastattelujen aikana uhrit huijataan ottamaan käyttöön kamera ja suorittamaan päätekomentoja video-ohjainten päivittämisen varjolla – vaiheet, jotka tietämättään asentavat haitallisen hyötykuorman. Haittaohjelman ominaisuudet ulottuvat tietovarkauksien ulkopuolelle, mukaan lukien tiedostojen hallinta, kuvakaappausten ottaminen, järjestelmän tiedustelu ja pysyvä etäkäyttö.
Cisco Talosin tutkijat totesivat, että haittaohjelman monimutkaisuudesta huolimatta ei ole näyttöä siitä, että sen koodin kirjoittamiseen olisi osallistunut suuria kielimalleja tai tekoälytyökaluja.
Tästä sosiaalisen manipuloinnin muodosta – kryptoalan ammatillisten pyrkimysten hyväksikäytöstä – on tullut Pohjois-Koreaan liittyvien kyberoperaatioiden tunnusmerkki. Huhtikuussa samaa taktiikkaa käytettiin 1.4 miljardin dollarin Bybit-hakkerointiin liittyvien kehittäjien kimppuun haittaohjelmilla saastutettujen rekrytointitestien avulla.
